CA认证技术在电子政务上的应用研究
2014-04-29杨景淇
杨景淇
摘 要 随着信息化进程的深入和互联网的迅速,信息安全显得日益重要。本文从CA认证的角度阐述了该技术在电子政务上的应用。本文介绍了CA认证技术、CA认证系统和技术方面应用的实例——CA认证中心在EDI系统中的应用。论文最后重点阐述了数字证书实现身份认证在电子政务中的应用。
关键词 安全 CA认证中心 身份认证 数字证书 PKI
中圖分类号:D63 文献标识码:A
1CA认证概述
随着Internet的发展,电子商务的兴起,经常需要在开放网络环境中不明身份的实体之间通信,安全问题也因此日益突出。为确保网上电子商务交易的顺利进行,必须在通信网络中建立并维持一种可信任的安全环境和机制。一个完整的电子商务系统主要包括商家、支付系统和认证机构,而认证机构是整个电子商务系统的关键。认证机构主要通过发放数字证书来识别网上参与交易各方的身份,并通过加密证书对传输的数据进行加密,从而保证信息的安全性、完整性和交易的不可抵赖性。
为了解决在Internet上开展电子商务的安全问题,切实保障网上交易和支付的安全,世界各国在经过多年研究后,初步形成了一套完整的解决方案,其中最重要的内容就是建立一套完整的电子商务安全认证体系。电子商务安全认证体系的核心机构就是认证中心(CA)。认证中心作为一个权威、公正、可信的第三方机构,它的建设是电子商务最重要的基础设施之一,也是电子商务大规模发展的根本保证。
所谓CA(Certificate Authority)认证中心,它是采用PKI(Public key Infrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构,它的作用就像我们现实生活中颁发证件的公司,如护照办理机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心两大类。
一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。
2CA认证技术在电子政务上的应用
网络认证技术是网络安全技术的重要组成部分之一。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的,被认证对象的属性可以是口令、数字签名或者像指纹、声音、视网膜这样的生理特征。以下介绍CA认证系统的有关技术及其典型应用。
2.1公钥基础设施PKI
公钥基础设施PKI(Public Key Infrastructure)又叫公钥体系,是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范,从广义上讲,所有提供公钥加密和数字签名服务的系统,都可以叫做PKI系统。PKI的主要目的是通过自动管理密钥和数字证书,来为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。PKI由公开密钥加密技术、数字证书、认证机构CA及相关的安全策略等基本成分共同组成。一个典型、完整、有效的PKI应用系统至少应包含如下几个部分:(1)CA认证机构,(2)X.500目录服务器,(3)具有高强度密码算法(如SSL)的安全www服务器,(4)Web安全通信平台,(5)自行开发的安全应用系统,综上所述,在PKI中最重要的核心部分就是认证机构CA。
CA身份认证系统基于PKI理论体系构建,由认证服务器、管理服务器、客户端安全认证组件和SecurSecureKey(USB智能卡)组成,支持B/S结构和C/S结构的应用系统。系统中每一个用户发一个SecurSecureKey,其中存储有代表用户身份的数字证书和私钥文件,用户在登录系统时,插上SecurSecureKey,通过安全加密通讯信道与远程身份认证服务器通讯,由认证服务器完成对用户身份的认证,并得到当前用户的身份以及系统的授权信息。
(1)用户在计算机USB接口上插入包含自己证书和私钥的SecurSecureKey,访问系统登录页面。
(2)服务器接受登录请求,并产生一个临时随机数,发送到客户端。
(3)用户输入SecurSecureKey访问口令,点击“登录”按钮。
(4)客户端对服务器发来的随机数以及用户的身份信息利用SecurSecureKey硬件进行加密,并对加密结果做数字签名,将结果发送到服务器。
(5)应用服务器接收到客户端发来的数据后,执行验证过程。
(6)应用服务器根据认证服务器的返回结果决定登录是否成功。
2.2系统功能特点
(1)安全有效的身份认证
(2)易于操作和使用
(3)自动检测并加密指定关键信息
2.3 CA认证技术在电子政务中应用
在某区电子政务的一站式访问系统中,网上申请驾照、网上申请准生证等模块,都用到了基于CA认证技术实现身份认证的技术。
(1)基于CA认证技术实现身份认证的前提条件
首先要有认证中心CA实施的支持,即交易各方能够申请到自己的数字证书,能够从认证中心获得证书库信息和证书撤销列表,并对其进行有效性和完整性验证,交易各方面都能够支持系统所需的加密算法,摘要算法等。
(2)建立通信模型
在传输文件前,首先进行身份认证和密钥协商、身份认证,一是验证对方的证书是否有效,即证书是否过期,是否已被撤销等;二是要评估当前用户,在文件传输中的访问权限。
(3)加载数字证书身份认证模块的程序设计
对于安全认证系统来说,在程序设计中加载数字证书,来实现其通信各方面的身份认证和发送者行为的时候无法否认性,在如下方案中采用了安全套接层(SSL)传输方式。
加载数字证书的身份认证模块:
①创建会话连接使用的协议。
②申请SSL会话的环境CTX。
③SSL使用TCP协议,需要把SSL attach捆绑到已经连接的套接层上。
④SSL握手协议。
⑤握手成功后,得到对方的数字证书,与从认证中心CA获得的数字证书比较。两个证书如果不同,断开连接请求,结束会话;如果相同,对方的身份得到确认。
⑥通讯结束后,需要释放前面申请的SSL资源。
(4)系统安全认证分析(单向认证)
①通信身份的认证
通信过程开始时,服务器向浏览器发送自己的数字证书,浏览器从认证中心CA获取数字证书,浏览器使用认证中心CA系统的公开密钥解开服务器的数字证书,从而得到服务器的身份和公开密钥,二者进行比较后,确认服务器是否为真,完成身份认证。
②不可否认性
通信过程中,信息的摘要要是使用发送方自己的私有密钥进行签字的,除发送者自己以外,其他人无法知道签名者的私有密钥,所以确定了发送的行为无法再事后否认。
3结论
从上述CA的实例中,我们可以看到目前国内的CA已经不再是简单地买卖证书了,而是更多地开始为客户提供不同领域的解决方案,以及开发一些相关的安全系统,将本身的业务拓展开来。而且在技术上,也考虑了与国际标准的接轨。
作为电子商务安全管理中极其重要的一个环节,我国CA建设的道路不是那么的平坦。要在我国建立起一个权威的根CA,实现国内所有CA的交叉认证,还有很长的路要走,需要政府以及各个CA的密切配合,更需要借鉴国外成功的经验,在实践中找到适合我国现状的解决方案,只有做好了CA的建设,才能更加高效地为电子商务平台提供安全保障,为我国的电子商务保驾护航。